Wie wichtig ist die IoT-Cybersecurity?
Smart-Geräte sind unser Schlüssel zur digitalen Welt. Überall auf der Welt nutzen die Menschen die Smart-Geräte wegen ihrer Bequemlichkeit. Aber wenn es jemanden gibt, der Smart-Geräte noch mehr liebt, dann sind es Cyberkriminelle. Mit dem Internet der Dinge (Internet of Things, IoT) genießen mehr Menschen als je zuvor Haushaltsassistenten und andere vernetzte Haushaltsgeräte wie Kühlschränke, Waschmaschinen, vernetzte Alarmsysteme, Türschlösser, Rauchmelder, Babymonitoren und viele andere, die unvergleichlichen Komfort bieten. Diese Geräte sind jedoch oft mit persönlichen Smartphones verbunden, auf denen private Informationen wie Bankdaten gespeichert sind, was Verbindungen zu weitreichenden Netzwerken schafft und die Aufmerksamkeit von Cyberkriminellen auf sich zieht.
Individuelle und organisatorische Risiken
Laut der deutschen Online-Plattform Statista, die Daten sammelt und visualisiert, wird es bis 2030 weltweit 29 Milliarden IoT-Geräte geben. Zum Vergleich: Die Weltbevölkerung liegt derzeit bei 7,8 Milliarden. Schwachstellen in einzelnen IoT-Geräten können auch zu großen Schäden führen, indem sie das gesamte verbundene Netzwerk gefährden. Die Tatsache, dass 98 % des Datenverkehrs von IoT-Geräten unverschlüsselt bleibt, zeigt, dass die derzeitigen Sicherheitsmaßnahmen unzureichend sind. Experten meinen, dass 57 % dieser Geräte anfällig für Angriffe mittleren oder hohen Grades sind.
Ohne umfassende Sicherheitsprotokolle wird jedes angeschlossene Gerät zu einem potenziellen Einfallstor für Cyberkriminelle. In Branchen wie mobile Anwendungen, Unterhaltungselektronik, elektronischer Handel und Automobilindustrie, insbesondere solche, die hochsensible geschützte Informationen besitzen, können die Auswirkungen einer unzureichenden IoT-Sicherheit nicht nur für Unternehmen, sondern sogar für Regierungen tiefgreifend sein. Daher ist es von entscheidender Bedeutung, dass die IoT-Cybersecurity verstärkt wird, und zwar von der einzelnen Basis aus.
Warum wird der IoT-Cybersecurity keine Priorität eingeräumt?
Trotz der offensichtlichen Risiken fällt es den Unternehmen schwer, den Zero-Trust-Ansatz zu verfolgen, den sie brauchen, um ihre IoT-Netzwerke dicht zu halten. Ein erheblicher Teil der Unternehmen ist sich der Schwachstellen des IoT nach wie vor nicht bewusst und konzentriert sich stattdessen auf den potenziellen Komfort und die kurzfristigen Einsparungen, die das IoT bringen kann. Um mit dieser Nachfrage Schritt zu halten, setzen die Innovatoren und Hersteller/innen die Priorität der IoT-Funktionen an einer höheren Stelle als die Cybersecurity.
Was gilt als eine sichere IoT-Cybersecurity?
Wie Naturlandschaften, z. B. das Meer oder der Himmel, ist auch die internationale Cybersecuritylandschaft nicht durchgängig homogen, sondern besteht aus einzigartigen Infrastrukturen und unterliegt einzigartigen Normen, die innerhalb jeder geografischen Region dynamisch miteinander interagieren. Infolgedessen unterscheiden sich die Cybersecuritysprotokolle in Bezug auf ihre Wirksamkeit und ihren Geltungsbereich je nach Gesetzgebung. Darüber hinaus müssen die bestehenden Rahmenwerke ständig verbessert werden, um die Cyberkriminelle zu bekämpfen, die ständig neue Wege entwickeln.
Europa: ETSI EN 303 645
Als Vorreiter hat die Europäische Union die Norm ETSI EN 303 645 für grundlegende Cybersecurityanforderungen an IoT-Geräte für Verbraucher veröffentlicht. Diese Norm wurde im Juni 2020 veröffentlicht und soll Angriffe auf Smart-Geräte abwehren, mit denen Cybersecurity-Experten häufig konfrontiert werden. Sie deckt alles ab, von Kinderspielzeug, Babyfonen, Rauchmeldern, Türschlössern, Smart-Kameras, Fernsehern, Lautsprechern, tragbaren Gesundheitsgeräten, Alarmsystemen und sogar vernetzten Haushaltsgeräten. Von dem Moment an, in dem die Verbraucher zum Frühstück in ihren Smart-Kühlschrank greifen, bis zu dem Moment, in dem sie den Wecker gestellt haben und eingeschlafen sind, sollten die Verbraucher durch 13 Sicherheits- und Datenschutzanforderungen und -empfehlungen geschützt werden, die die Hersteller in ihre Produkte einbauen müssen:
1. Keine universellen Standardpasswörter.
2. Implementierung eines Systems zur Verwaltung von Berichten über Sicherheitslücken.
3. Software auf dem neuesten Stand halten.
4. Sichere Speicherung sensibler Sicherheitsparameter.
5. Sichere Kommunikation.
6. Minimierung ungeschützter Angriffsflächen.
7. Sicherstellung der Software-Integrität.
8. Sicherstellung der Sicherheit der persönlichen Daten.
9. Die Systeme müssen ausfallsicher sein.
10. Prüfung der Systemtelemetriedaten.
11. Erleichtern Sie den Benutzern das Löschen persönlicher Daten.
12. Erleichterung der Installation und Pflege der Geräte.
13. Validierung der eingegebenen Daten.
Die Einhaltung dieser grundlegenden Sicherheitsanforderungen ist Teil der Anforderungen der Funkausrüstungsrichtlinie (RED) und hilft den Herstellern auch bei der Einhaltung von Datenschutzanforderungen wie der Allgemeinen Datenschutzverordnung (GDPR). ETSI EN 303 645 bietet nicht nur eine Grundsicherheit für IoT-Geräte, sondern bildet auch die Grundlage für künftige IoT-Zertifizierungssysteme, wie z. B. den EU Cybersecurity Act (CSA).
Die vollständige Einhaltung wird daher voraussichtlich bis 2025 verpflichtend sein. Auch wenn die Norm keinen 100 prozentigen Schutz von Cyberkriminalität bietet, hilft sie den Hersteller/innen doch einen großen Schritt weiter, um Cyberkriminelle daran zu hindern, DDoS-Angriffe zu starten und Nutzer in ihren Wohnungen auszuspionieren. Heute ist die ETSI EN 303 645 weltweit anerkannt und wird von Branchenexperten, Akademikern, Prüfinstituten und internationalen Regierungsstellen übernommen. Zur Harmonisierung mit dem Privatsektor wurde außerdem die Testspezifikation ETSI TS 103 701 formuliert, um Herstellern, Lieferanten und Implementierer die Anwendung anerkannter Bewertungsmethoden in ihren Prozessen zu erleichtern. Es wird erwartet, dass ETSI eine neue Reihe von Anforderungen herausgibt, die dann in naher Zukunft ETSI EN 303 645 ersetzen wird.
Steige mit GRL in die vernetzte Zukunft der
Sicherheit ein
Nutze die Telekommunikation und interoperable Geräte um die Herausforderungen und Schwierigkeiten des IoT-Netzwerks zu bekämpfen. Die Sicherheitsprüfungsdienstleistung für IoT-Geräte von GRL wird von vertrauensvolle Ingenieure und ist weithin von Regierungen und Organisationen (NABL -National Accreditation Board for Testing and Calibration Laboratories) für unsere Einrichtung, hochqualifizierte personelle und technische Kompetenz anerkannt.
Die Verwirklichung der Produktvision ist nur ein paar Schritte entfernt. Schreiben Sie uns für eine personalisierte Beurteilung für ihre IoT-Geräte nach dem ETSI EN 303 645-Norm als auch für die Vorschläge über die Prüfungsdienstleistungen und Lösungen, was ihre Manufakturprozess verfeinert.
Über den Autor
Sanjay K Sharma
Stellvertretender Direktor - Cybersecuritydienste
Sanjay K Sharma ist zuständig für die Entwicklung der Cybersecuritydienste und die Prüfstellen nach den nationalen, internationalen und industriellen Normen zu etablieren. Er unterstützt auch im Bereich IoT und digital verbundene Technologiestrategien.